web-dev-qa-db-ja.com

ドメインアカウントの不正なログイン試行の原因を見つける方法(Windows 2008 Server R2)

ロックアウトされ続けるアカウント(ドメインアカウント)を持っています。

最後の不正ログインがいつ発生し、不正ログイン数が5であるかを確認できます。判断したいのは、不正ログインの原因となっているマシンのIPアドレスです。

どうすればこれを見つけることができますか?

3
JL.

まず、ログオン失敗の監査を有効にする必要があります。慣例として、私は常にそれを強制されたデフォルトのドメインポリシーに入れましたが、少なくともそれをドメインコントローラに適用する必要があります。このエントリは、Audit Account Logon Eventsと呼ばれ、デフォルトでは、何らかの理由で成功をログに記録するだけです。この設定に関する情報は、TechnetのMicrosoft から入手できます。

これを有効にすると、ログインを処理するドメインコントローラーのセキュリティログに必要な情報が含まれます。具体的には、ログオン/ログオフイベントの失敗の監査を確認します。ユーザー名は、ユーザーと呼ばれる列である必要があります。この列を使用すると、検索を容易にするために並べ替え/フィルタリングできます。

6
Hyppy